セキュリティ・コンプライアンスと設計運用(技術的側面)
- 山崎行政書士事務所
- 9月11日
- 読了時間: 7分
— パラメータシートで段階的に強化する Azure セキュリティ実装 —
著者:山崎行政書士事務所 クラウド法務・アーキテクチャ支援チーム
発行日:2025-09-11
要旨(Abstract)
国内個人情報保護法(APPI)、GDPR、ISO/NIST の要求に則しつつ、自社ビジネスの要件(SLO/コスト/運用体制)を満たすためには、「パラメータシートレベルの設計値」と「コスト見合い」を対で管理し、段階的(Baseline → Advanced → Mission‑Critical)に実装を拡充するのが実務的である。本稿は、暗号化/鍵管理/通信保護/ID・権限/監査・SIEM/Defender for Cloudを中心に、推奨設定値・補足・コスト要素をシート化し、KQL/Policy/Bicep の最小テンプレと運用 KPIまで落とし込む。
キーワード:TDE, Always Encrypted, Key Vault, BYOK/CMK, TLS 1.2/1.3, AppGW/WAF, Entra ID (MFA/CA/PIM), RBAC, Azure Monitor, Log Analytics, Sentinel, Defender for Cloud, WORM, Evidence Pack
0. 設計原則(共通)
Least Privilege + Zero Trust:ID/ネットワーク/アプリ各層で最小権限と強制ガードレール(Policy)。
Data Residency/越境移転の明示:本番/DR/ログ保存先のリージョンと暗号鍵の所在を設計書・規程に明記。
Configuration‑as‑Evidence:設定値=証跡。Evidence Pack に JSON/KQL/手順を継続保管。
Runbook‑First:検知→是正を自動化(Playbook/Runbook)し、運用を“手作業”から脱却。
1. 暗号化(At‑Rest/In‑Transit)と鍵管理
1‑1. データ保護(Azure Storage/Azure SQL)
┌───────────┬──────────────────────────────────────────┬──────────────────────────────────────────────────┬─────────────────────┐
│ 項目 │ 設定例・推奨値 │ 補足 │ コスト観点 │
├───────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────┼─────────────────────┤
│ At Rest │ SQL: TDE 有効 │ TDE で DB/バックアップも自動暗号化 │ 標準機能:追加課金なし│
│ │ Storage: 既定暗号化(AES256) │ アカウント既定で有効 │ なし │
├───────────┼──────────────────────────────────────────┼──────────────────────────────────────────────────┼─────────────────────┤
│ 強化策 │ SQL: Always Encrypted(列単位) │ サーバ側で平文非保持。アプリ修正要 │ 実装工数↑ │
│(機微) │ Storage: Immutable(WORM) │ 改ざん耐性(監査・証跡) │ 容量/保持期間で課金 │
└───────────┴──────────────────────────────────────────┴──────────────────────────────────────────────────┴─────────────────────┘
1‑2. 鍵管理(Key Vault / BYOK / ダブル暗号化)
┌────────────┬──────────────────────────────────────────┬─────────────────────────────────────────────────┬─────────────────────────────┐
│ 項目 │ 設定例・推奨値 │ 補足 │ コスト観点 │
├────────────┼──────────────────────────────────────────┼─────────────────────────────────────────────────┼─────────────────────────────┤
│ SKU │ Standard / Premium(HSM) │ PremiumはFIPS準拠HSM。高機密用途に適合 │ Premiumは月額+Op課金 │
│ CMK/BYOK │ Key Vault で顧客管理鍵(CMK) │ 第三者による復号リスク低減(補完的措置) │ Key操作はトランザクション課金 │
│ ローテ │ 自動ローテ 12ヶ月(目安) │ PCI DSS 等に整合。頻度↑=Op課金↑ │ ローテ頻度に比例 │
│ アクセス │ RBAC 基本+必要に応じ Access Policy 併用 │ 最小権限(Wrap/Unwrap/Sign/Verify のみ等) │ 追加コストなし │
│ 監査 │ Diagnostic→Log Analytics/Event Hubs │ すべての Key 操作を証跡化 │ 取り込み量×保持期間 │
│ 強化策 │ Premium + BYOK + 二重暗号化 │ HSM生成鍵を持込+二重化で主権を明確化 │ Premium費用+運用工数 │
└────────────┴──────────────────────────────────────────┴─────────────────────────────────────────────────┴─────────────────────────────┘
KQL:Key Vault の重要操作を可視化(例)
AzureDiagnostics
| where ResourceProvider == "MICROSOFT.KEYVAULT" and Category == "AuditEvent"
| where OperationName in ("SecretGet","SecretSet","KeyGet","KeyCreate","KeyImport","KeyWrap","KeyUnwrap")
| summarize ops=count() by OperationName, CallerIPAddress, bin(TimeGenerated, 1h)
1‑3. 通信暗号化(TLS/WAF/プライベート接続)
┌──────────────┬─────────────────────────────────────────┬────────────────────────────────────────────┬──────────────────────────┐
│ 項目 │ 設定例・推奨値 │ 補足 │ コスト観点 │
├──────────────┼─────────────────────────────────────────┼────────────────────────────────────────────┼──────────────────────────┤
│ TLS │ 1.2/1.3 のみ許可 │ 古いTLS/SSL無効化 │ 証明書費用のみ │
│ App Service │ HTTPS Only + カスタムドメイン証明書 │ HSTS/リダイレクト │ 証明書/管理コスト │
│ AppGW(WAF) │ 最低 TLS1.2 + WAF(Prevention) │ OWASP調整→本番切替 │ AppGW/WAFの従量課金 │
│ mTLS │ クライアント証明書(必要時) │ 高い真正性。運用負荷↑ │ 証明書発行/配布コスト │
│ PrivateLink │ PaaS への閉域接続 │ Public 露出ゼロ化 │ Private Endpoint課金 │
│ VPN/ER │ IPsec/IKE / ExpressRoute │ オンプレ閉域連携 │ ゲートウェイ/回線コスト │
└──────────────┴─────────────────────────────────────────┴────────────────────────────────────────────┴──────────────────────────┘
2. アクセス制御(IAM/RBAC)と監査
2‑1. Entra ID(認証・条件付きアクセス・PIM)
┌────────────────────┬──────────────────────────────────────────┬───────────────────────────────────┬───────────────────────────┐
│ 項目 │ 設定例・推奨値 │ 補足 │ コスト観点 │
├────────────────────┼──────────────────────────────────────────┼───────────────────────────────────┼───────────────────────────┤
│ MFA/CA │ 全ユーザーMFA+条件付きアクセス │ 国/デバイス/リスクで要求 │ P1/P2 ライセンス │
│ Identity Protection│ リスクベース制御(再MFA/ロック) │ ハイリスク自動措置 │ P2 ライセンス │
│ PIM(JIT) │ 特権は申請→承認→期限付 │ 常設特権ゼロ化 │ P2 ライセンス │
│ アクセスレビュー │ 四半期実施 │ 休眠/不要権限を削除 │ 工数→自動化で削減 │
└────────────────────┴──────────────────────────────────────────┴───────────────────────────────────┴───────────────────────────┘
2‑2. Azure RBAC(最小権限・スコープ)
原則:個人割当禁止、グループ割当+最小権限ロール(必要ならカスタム)。
多段スコープ:Management Group → Subscription → RG → Resource の順で権限を絞る。
禁止例:運用者に Owner を広域付与、VNet 削除権限の不用意な付与。
Policy:タグ必須(証跡・配賦の共通キー)
{
"properties": {
"displayName": "Require tags: Dept,Project,Owner,DataClass,Residency",
"policyRule": {
"if": { "anyOf": [
{ "field": "tags['Dept']", "exists": false },
{ "field": "tags['Project']", "exists": false },
{ "field": "tags['Owner']", "exists": false },
{ "field": "tags['DataClass']", "exists": false },
{ "field": "tags['Residency']", "exists": false }
]},
"then": { "effect": "deny" }
}
}
}
2‑3. 監査ログ/SIEM
Entra Audit/Sign‑in Logs、Azure Activity、各種Diagnostic Logsを Log Analytics に集約。
Sentinel:特権ロール操作、国外イグレス、失敗サインイン急増などを相関検知し、Playbookで初動自動化。
保持/改ざん耐性:規制年限に合わせてアーカイブ、重要ログは Blob WORM を併用。
3. Defender for Cloud(姿勢管理・脅威検知)
┌───────────┬──────────────────────────────────────────────┬───────────────────────────────────────┬────────────────────────┐
│ 機能領域 │ 推奨構成 │ 運用ポイント │ コスト観点 │
├───────────┼──────────────────────────────────────────────┼───────────────────────────────────────┼────────────────────────┤
│ Secure Score│ 重要 Sub から改善開始 │ 推奨事項の自動是正は Policy と併用 │ 対象リソースで従量 │
│ Defender │ Servers/SQL/Storage/Kubernetes 等を選択的に有効│ 本番・機微データから段階展開 │ プラン毎に課金 │
│ Threat │ アラート→SOAR で NSG変更/秘密停止など自動化 │ 誤検知はチューニング │ 実行回数で課金(Logic Apps)│
│ Compliance │ ISO/PCI/NIST 対応ビュー │ 設計差分→是正→再評価 │ 監査工数の削減効果 │
└───────────┴──────────────────────────────────────────────┴───────────────────────────────────────┴────────────────────────┘
4. 段階的ロードマップ(Baseline → Advanced → Mission‑Critical)
[Baseline]
- TDE/Storage 既定暗号化、TLS1.2、HTTPS Only
- Entra MFA/基本CA、RBAC グループ割当、Activity/Diagnostics 集約
- Defender(FREE) + 重要リソース可視化、月次 Evidence 更新
[Advanced]
- Key Vault CMK/BYOK、ローテ自動化、Private Link
- Sentinel 相関検知 + Playbook 初動、Blob WORM
- Defender 有料プランを重要範囲に適用、CA をリスク/デバイス準拠へ拡張
[Mission‑Critical]
- HSM(Premium) + BYOK + 二重暗号化、Always Encrypted
- mTLS / AppGW WAF Prevention、ゼロトラスト分離(NSG/Firewall)
- 全社 SLO/エラーバジェット、DR 演習四半期、POA&M で継続是正
5. コスト最適化の勘所(セキュリティ強化と両立)
スモールスタート:HSM/BYOK/Defender/Sentinel は重要システムから適用し、効果確認後に拡張。
ログの階層化:30 日ホット → 以降アーカイブ。検索頻度の低いデータは低コスト階層へ。
ライセンスの束ね:Entra P2/M365 E5/EMS E5 のバンドル活用で単体購入よりも最適化。
ROI 可視化:Cost Management+ダッシュボードで安全性向上 vs 追加従量を継続評価。
6. 運用 KPI/監査 Evidence(抜粋)
KPI:
- 常設特権アカウント数 = 0
- 診断設定適用率 = 100%
- Key Vault 監査ログ欠落 = 0
- セキュリティ推奨事項の是正完了率 >= 95%
- DR テスト 実施/四半期 = 1 回以上
Evidence Pack:
1) アーキ図(データ流・鍵位置・リージョン)
2) Policy/Template JSON + 割当
3) RBAC/PIM 台帳(JIT 履歴)
4) ログ保持/アーカイブ/WORM 設定
5) Sentinel 分析ルール/Playbook
6) DR 手順・演習記録(RTO/RPO 実測)
7. 最小テンプレ(実装スニペット)
KQL:国外イグレスの検出(例)
AzureNetworkAnalytics_CL
| where FlowDirection_s == "Outbound"
| where DstCountry_s !in ("Japan","EU Member States")
| summarize hits=count() by bin(TimeGenerated,1h), SrcSubnet_s, DstPublicIPs_s, DstCountry_s
Bicep:Storage の WORM(バージョン単位)を有効化(概念)
resource sa 'Microsoft.Storage/storageAccounts@2023-01-01' = {
name: 'st-sec-evidence'
location: 'japaneast'
sku: { name: 'Standard_GZRS' }
kind: 'StorageV2'
properties: {
allowBlobPublicAccess: false
publicNetworkAccess: 'Disabled'
immutableStorageWithVersioning: { enabled: true }
}
}
8. 山崎行政書士事務所のご支援(PR)
法務(DPA/SCC/APPI)× 技術(Key Vault/CA/PIM/Defender/Sentinel)を“同じ設計書”でまとめ上げるのが当事務所の強みです。
運用に効く成果物:パラメータシート/Policy/Bicep/KQL/Playbook/Evidence Pack を監査提出レベルで整備。
段階導入:Baseline→Advanced→Mission‑Critical の90日ロードマップで、コストと効果を両立。
エンタープライズ実績:金融・医療・製造の厳格要件に即した席巻事例をテンプレ化。
ご相談の流れ
初回ヒアリング:現行 Azure/リスク/規制要件を整理
現状診断&計画:本稿のパラメータでギャップ分析→優先度順ロードマップ
実装伴走:Policy/RBAC/Key Vault/Defender/Sentinel/自動化を導入
定期レビュー:法改正・新機能を反映し、KPI/Evidence を継続更新
9. まとめ
安全性と経済性の両立は、設計値(パラメータ)×コスト見合いを可視化し、段階的に実装を進化させることで実現する。暗号化・鍵主権・通信保護・ID/権限・監査・姿勢管理をEvidence と自動化で回し続け、法務と技術の一体運用で持続的なコンプライアンスを確保する。
コメント